3月 27, 2011

IDS IPS 入侵偵測 防禦系統

[ IDS ]

入侵偵測(IDS)系統主要功能在負責監聽網路封包,依據預先設定的安全策略
(Security Policy),對網路與系統的運行狀況進行監測,當發現異常,自動
發出警訊通報給網管人員

傳統的 IDS 最被詬病之處乃是其僅能產生大量的警報事件,無法立即阻絕入侵攻擊。而且因為受限於有限檢測技術及旁聽式(Sniffer Mode)部署模式,產生誤報比率較高。

IDS 分為兩類:
NIDS(Network Intrusion Detection System)
HIDS(Host based Intrusion Detection System)

1. NIDS:
分析從網路收集來的封包,查看封包特徵與資料庫進行比對,收集相關資訊並記入日誌
2. HIDS:
安裝在被檢測的主機之上,即時對網路進行系統「日誌檢查」,進行智慧分析和判斷。

[ IPS ]

入侵防護(IPS)系統則化被動為主動,當發現網路異常封包或行為時,系統除發送警訊通報給網管人員,並立即採取必要的處置措施,例如阻斷來源IP。從保護對象上可將IPS分為三類:

1. 主機的入侵防護(HIPS)
用於保護伺服器和主機系統不受不法分子的攻擊和誤操作的破壞。
2. 網路的入侵防護(NIPS)
檢測網路流量,提供網路系統的安全保護,若有入侵行為,NIPS就阻斷該連線。
3. 應用程式入侵防護(AIPS)
是將基於主機的入侵防護擴展成為位於應用伺服器之前的網路資訊安全設備。

沒有留言:

張貼留言